HOME
CHFI (EC-Council) フォレンジック捜査官

「CHFI (EC-Council) フォレンジック捜査官」の記事一覧

マルウェアが特定のAPI（例：CreateProcess）の先頭数バイトをJMP命令に書き換えるフッキング手法はどれか。

関数の実行フローを直接変更して自身のコードへ飛ばし、引数や戻り値を監視・改ざんする。

2026年3月5日

Windowsでレジストリへの書き込みが途中で失敗した際、整合性を保つために使用されるトランザクションログの拡張子はどれか。

ハイブファイルと同じ場所に保存されており、直近の変更内容を解析する際に重要な役割を果たす。

2026年3月5日

デジタル証拠の識別、収集、取得、保存に関する国際的なガイドラインはどれか。

証拠の完全性を維持し、国際的に認められる手順で捜査を行うための標準的な指針である。

2026年3月5日

Kubernetesにおいて、クラスターのすべての構成情報や状態を保存している分散キーバリューストアはどれか。

etcd内のデータを抽出・解析することで、クラスターに対する不正な変更や設定の痕跡を確認できる。

2026年3月5日

システムに元々存在する正規のツール（powershell.exeやcertutil.exe等）を悪用して攻撃を行う手法はどれか。

「自給自足型」とも呼ばれ、悪意あるファイルをディスクに置かないため検知が困難である。

2026年3月5日

メモリ（RAM）内の特定のアドレスを上書きし、フォレンジックツールによる情報の復元を妨害する手法はどれか。

パスワードや暗号鍵がメモリ上に残らないよう、プログラムの終了時に明示的にゼロクリア等を行う。

2026年3月5日

NoSQLデータベースのMongoDBにおいて、レプリケーションに使用され、過去の操作履歴を保持しているコレクションはどれか。

実行されたすべてのデータ操作が時系列で記録されており、操作の追跡に極めて有用である。

2026年3月5日

iPhoneのハードウェア（BootROM）に存在する脆弱性を利用し、ほぼすべてのAシリーズチップ搭載機を脱獄可能にしたエクスプロイトはどれか。

パッチ不可能なハードウェアレベルの脆弱性であり、フォレンジック抽出の大きな転換点となった。

2026年3月5日

ZFSなどのファイルシステムで採用されている、データを直接上書きせず新しいブロックに書き込む方式はどれか。

この方式により、古いデータが上書きされずに残りやすいため、フォレンジック的なデータ復元が容易になる。

2026年3月5日

Windowsのセキュリティログにおいて、新しいプロセスが作成されたことを示すイベントIDはどれか。

監査ポリシーで有効にする必要があり、コマンドライン引数を含めることで攻撃者の意図を詳細に把握できる。

2026年3月5日